Politique de confidentialité

Le responsable de traitement est Osmove SAS, 146 ave Léon Blum, 92160 Antony, France (RCS Nanterre 902 644 970). Contact : [email protected].

Données de compte (email, mot de passe chiffré, prénom optionnel) ; données d'usage (requêtes, réponses IA, transcriptions de conversations) ; empreintes vocales et faciales que vous choisissez d'enrôler ; télémétrie appareil (dernière connexion, version logicielle) ; métadonnées de paiement (gérées par Stripe, nous ne voyons jamais vos numéros de carte).

Nous traitons vos données pour opérer le service, répondre à vos requêtes, router les interactions vocales vers le bon modèle IA, permettre la reconnaissance multi-utilisateur dans le foyer, prévenir les abus et respecter nos obligations légales. Nous ne vendons pas vos données et ne les utilisons pas pour entraîner des modèles tiers sans votre consentement explicite.

Nous nous appuyons sur : (a) l'exécution de notre contrat avec vous pour les fonctionnalités centrales ; (b) votre consentement explicite pour les données biométriques (empreintes vocales / faciales) ; (c) notre intérêt légitime à sécuriser la plateforme pour les journaux anti-abus ; (d) les obligations légales pour les données comptables.

Les données de compte et de conversation sont conservées tant que votre compte est actif et jusqu'à 30 jours après sa suppression pour permettre une récupération. Des agrégats anonymisés peuvent être conservés plus longtemps. Les empreintes biométriques sont supprimées immédiatement lorsque vous retirez le membre correspondant.

Nous partageons strictement le minimum de données requis avec : OpenAI / Anthropic / Google (inférence IA), Stripe (paiements), Postmark (email transactionnel), Sentry (monitoring d'erreurs, sans PII), Twilio / PhoneVoice (appels sortants quand vous demandez à l'assistant d'en passer), GoCardless / Nordigen (banque quand vous connectez un compte). Chaque prestataire est lié par son propre DPA et par nos critères de sélection de fournisseurs.

Voir notre page sécurité pour les mesures techniques et organisationnelles en place (chiffrement en transit et au repos, jetons hachés, limitation de débit, monitoring, journaux épurés, audits CI).

Certains sous-traitants sont situés aux États-Unis (Heroku/Salesforce pour l'hébergement, OpenAI pour l'IA). Les transferts vers les États-Unis sont encadrés par le EU-US Data Privacy Framework et, le cas échéant, par des clauses contractuelles types.

Sous le RGPD vous disposez du droit d'accès, de rectification, d'effacement, de portabilité et de limitation du traitement de vos données personnelles, ainsi que du droit d'opposition. Exercez ces droits en écrivant à [email protected]. Vous pouvez également introduire une réclamation auprès de la CNIL (France) ou de l'autorité de protection des données de votre pays.

Nous utilisons un cookie de session pour vous garder connecté, un cookie pour mémoriser votre langue, et un cookie pour mémoriser votre thème. Nous n'utilisons pas de cookies publicitaires tiers. L'analytique, le cas échéant, est auto-hébergée et anonymisée.

Twoody n'est pas destiné aux enfants de moins de 13 ans. Un membre du foyer identifié comme mineur peut être enrôlé par un parent pour la reconnaissance vocale, mais aucun compte n'est créé pour cet enfant.

Nous pouvons mettre à jour cette politique. Les changements significatifs seront notifiés via l'application ou par email avant qu'ils ne prennent effet.